最近，微軟在宣傳如果你想要得到一個(gè)真正安全的網(wǎng)絡(luò)，你必須關(guān)注5個(gè)重要的領(lǐng)域。這些領(lǐng)域包括周邊防護(hù)，網(wǎng)絡(luò)防護(hù)，應(yīng)用防護(hù)，數(shù)據(jù)防護(hù)，和主機(jī)防護(hù)。在本文中，我將討論網(wǎng)絡(luò)防護(hù)，幫助獲得深度安全。 　

微軟的安全哲學(xué)是你應(yīng)該關(guān)注五個(gè)獨(dú)立的領(lǐng)域，就好象你需要獨(dú)立對(duì)它們進(jìn)行防護(hù)。這樣的話，你就能夠確保這些領(lǐng)域都得到了妥善的防護(hù)。通過(guò)獨(dú)立地關(guān)注這些領(lǐng)域，你還能夠確保當(dāng)其中一項(xiàng)防護(hù)受到安全威脅的時(shí)候，其他的四層防護(hù)還是能夠起效果并且保護(hù)你的網(wǎng)絡(luò)。

什么是網(wǎng)絡(luò)防護(hù)？

首先，網(wǎng)絡(luò)防護(hù)的概念顯得過(guò)于寬泛籠統(tǒng)。但是在這個(gè)領(lǐng)域內(nèi)沒(méi)有什么是多余或者是過(guò)于籠統(tǒng)的。網(wǎng)絡(luò)防護(hù)解決了包括網(wǎng)絡(luò)之間聯(lián)接的問(wèn)題，把所有的網(wǎng)絡(luò)聯(lián)接成一個(gè)整個(gè)的網(wǎng)絡(luò)。網(wǎng)絡(luò)防護(hù)并不解決諸如外部防火墻或者撥號(hào)聯(lián)接的問(wèn)題，周邊安全性包含了這些問(wèn)題。網(wǎng)絡(luò)防護(hù)也不涵蓋單個(gè)的服務(wù)器或者工作站的問(wèn)題，那是屬于主機(jī)防護(hù)的問(wèn)題。網(wǎng)絡(luò)防護(hù)涵蓋了包括協(xié)議和路由器等問(wèn)題。

內(nèi)部防火墻

網(wǎng)絡(luò)防護(hù)不包含外部防護(hù)墻，但這并不意味著它完全不涉及防火墻。相反，我所建議的網(wǎng)絡(luò)防護(hù)的第一步就是在可能的情況下使用內(nèi)部防火墻。內(nèi)部防火墻同外部防火墻一樣是安全的基礎(chǔ)。兩者主要的區(qū)別在于內(nèi)部防火墻的主要工作是保護(hù)你的機(jī)器不受內(nèi)部通信的傷害。有很多使用內(nèi)部防火墻的理由。

首先，想象一下，如果一個(gè)黑客或者某種病毒以某種方式控制了你的外部防火墻，那么他就可以不受防火墻阻礙地同內(nèi)部網(wǎng)絡(luò)進(jìn)行通信。通常，這意味著你的網(wǎng)絡(luò)對(duì)于外部世界完全敞開(kāi)。但是，如果你有內(nèi)部防火墻，那么內(nèi)部防火墻會(huì)阻止從外部防火墻里溜進(jìn)來(lái)的惡意的數(shù)據(jù)包。

使用內(nèi)部防火墻的另一個(gè)主要的原因是很多攻擊都是內(nèi)部的。首先，你可能聽(tīng)說(shuō)過(guò)這種說(shuō)法，并且認(rèn)為內(nèi)部攻擊不太可能出現(xiàn)在你的網(wǎng)絡(luò)中，但是我在我所工作過(guò)的每一家公司的安全部門(mén)里，都見(jiàn)過(guò)內(nèi)部攻擊。

在我曾經(jīng)工作過(guò)的兩個(gè)地方，其他部門(mén)的有些人是黑客或者對(duì)管理權(quán)狂熱愛(ài)好。他們會(huì)認(rèn)為探測(cè)網(wǎng)絡(luò)以獲得盡可能多的信息是一件很酷而且很值得炫耀的事情。在這兩個(gè)地方，他們都沒(méi)有任何主觀上的惡意（或者說(shuō)他們都聲明自己沒(méi)有惡意），他們只是想在朋友面前炫耀自己能夠攻擊系統(tǒng)。不論他們的動(dòng)機(jī)如何，他們確實(shí)給網(wǎng)絡(luò)安全造成了危害。你必須防范你的網(wǎng)絡(luò)受到這樣的人的攻擊。

在我工作過(guò)的其他一些地方，我看到人們未經(jīng)授權(quán)就自己安裝軟件，而這些軟件中卻包含了特洛伊木馬。這些特洛伊木馬進(jìn)入系統(tǒng)后就可以通過(guò)特定端口將你的信息廣播出去。防火墻很難阻止惡意的數(shù)據(jù)包進(jìn)入網(wǎng)絡(luò)，因?yàn)閿?shù)據(jù)包已經(jīng)在網(wǎng)絡(luò)之中了。

這些事實(shí)導(dǎo)致了一個(gè)有趣的現(xiàn)象：我認(rèn)識(shí)的絕大部分技術(shù)人員都讓他們的外部防火墻阻止絕大部分流入網(wǎng)絡(luò)的通信包，但是卻對(duì)于流出的通信包卻不加限制。我建議要對(duì)流出的通信也要像對(duì)待流入的通信一樣謹(jǐn)慎，因?yàn)槟阌肋h(yuǎn)不會(huì)知道，什么時(shí)候會(huì)有一個(gè)特洛伊木馬躲在你的網(wǎng)絡(luò)里，向外廣播你網(wǎng)絡(luò)中的信息。

內(nèi)部防火墻可以放在任何一臺(tái)電腦上或者任何一臺(tái)服務(wù)器上。市場(chǎng)上有一些很好的個(gè)人防火墻產(chǎn)品，比如賽門(mén)鐵克 Norton Personal Firewall 2003。但是因?yàn)閃indows XP自帶了一個(gè)內(nèi)置個(gè)人防火墻，所以你并不一定要為你的工作站花錢(qián)購(gòu)買(mǎi)獨(dú)立的個(gè)人防火墻。

如果你想使用Windows XP防火墻，用鼠標(biāo)右鍵點(diǎn)擊“我的網(wǎng)絡(luò)”，然后從快捷菜單中選擇“屬性”來(lái)打開(kāi)“網(wǎng)絡(luò)連接”窗口。接下來(lái)，用鼠標(biāo)右鍵點(diǎn)擊你想要保護(hù)的網(wǎng)絡(luò)聯(lián)接并選擇屬性。現(xiàn)在，選擇高級(jí)菜單，然后點(diǎn)擊互聯(lián)網(wǎng)連接防火墻選項(xiàng)。你可以使用 “設(shè)置”按鈕來(lái)選擇保持開(kāi)放的端口。雖然Windows XP防火墻是一個(gè)互聯(lián)網(wǎng)防火墻，它也可以被作為內(nèi)部防火墻使用。

加密

我建議的下一個(gè)步驟對(duì)于你的網(wǎng)絡(luò)通信進(jìn)行加密。只要可能的話，就要采用IPSec。因此，你需要了解IPSec安全性。

如果你配置一臺(tái)機(jī)器使用IPSec，你應(yīng)該對(duì)于進(jìn)行雙向加密。如果你讓IPSec要求加密，那么當(dāng)其他的機(jī)器試圖連接到你的機(jī)器上的時(shí)候，就會(huì)被告之需要加密。如果其他機(jī)器有IPSec加密的能力，那么在通信建立的開(kāi)始就能夠建立一個(gè)安全的通信通道。另一方面，如果其他機(jī)器沒(méi)有IPSec加密的能力，那么通信進(jìn)程就會(huì)被拒絕，因?yàn)樗蟮募用軟](méi)有實(shí)現(xiàn)。

請(qǐng)求加密選項(xiàng)則略有不同。當(dāng)一個(gè)機(jī)器請(qǐng)求聯(lián)接，它也會(huì)要求加密。如果兩臺(tái)機(jī)器都支持IPSec機(jī)密，那么就會(huì)在兩臺(tái)機(jī)器之間建立起一個(gè)安全的通路，通信就開(kāi)始了。如果其中一臺(tái)機(jī)器不支持IPSec加密，那么通信進(jìn)程也會(huì)開(kāi)始，但是數(shù)據(jù)卻沒(méi)有被加密。

由于這個(gè)原因，我提供一些建議。首先，我建議把一個(gè)站點(diǎn)內(nèi)所有的服務(wù)器放在一個(gè)安全的網(wǎng)絡(luò)中。這個(gè)網(wǎng)絡(luò)應(yīng)該完全同平常的網(wǎng)絡(luò)分開(kāi)。用戶需要訪問(wèn)的每一臺(tái)服務(wù)器都應(yīng)該有兩塊網(wǎng)卡，一個(gè)聯(lián)接到主要網(wǎng)絡(luò)，另一個(gè)聯(lián)接到私有服務(wù)器網(wǎng)絡(luò)。這個(gè)服務(wù)器網(wǎng)絡(luò)應(yīng)該只包含服務(wù)器，而且應(yīng)該有專用的集線器或者交換機(jī)。

這樣做，你需要在服務(wù)器之間建立專用的骨干網(wǎng)。所有的基于服務(wù)器的通信，比如RPC通信或者是復(fù)制所使用的通信就能夠在專用骨干網(wǎng)里進(jìn)行。這樣，你就能夠保護(hù)基于網(wǎng)絡(luò)的通信，你也能夠提高主要網(wǎng)絡(luò)的可用帶寬的數(shù)量。

接下來(lái)，我推薦使用IPSec。對(duì)于只有服務(wù)器的網(wǎng)絡(luò)，應(yīng)該要求IPSec加密。畢竟這個(gè)網(wǎng)絡(luò)里只有服務(wù)器，所以除非你有UNIX、Linux、 Macintosh或者其他非微軟的服務(wù)器，你的服務(wù)器沒(méi)有理由不支持IPSec。因此你可以很放心地要求IPSec加密。

現(xiàn)在，對(duì)于連接到重要網(wǎng)絡(luò)上的所有工作站和服務(wù)器，你應(yīng)該讓機(jī)器要求加密。這樣，你就能夠在安全性和功能性之間獲得一個(gè)優(yōu)化平衡。

不幸的是，IPSec不能區(qū)分在多臺(tái)家庭電腦上網(wǎng)絡(luò)適配器。因此，除非一臺(tái)服務(wù)器是處在服務(wù)器網(wǎng)絡(luò)之外，你可能會(huì)需要使用請(qǐng)求加密選項(xiàng)，否則其他的客戶端就不能夠訪問(wèn)該服務(wù)器。

當(dāng)然IPSec并不是你網(wǎng)絡(luò)通信所能選擇的唯一加密方式。你還必須考慮你要如何保護(hù)通過(guò)你的網(wǎng)絡(luò)周邊以及通向你無(wú)線網(wǎng)絡(luò)的通信。

今天談?wù)摕o(wú)線加密還有點(diǎn)困難，因?yàn)闊o(wú)線網(wǎng)絡(luò)設(shè)備還在發(fā)展。大部分網(wǎng)絡(luò)管理員都認(rèn)為無(wú)線網(wǎng)絡(luò)是不安全的，因?yàn)榫W(wǎng)絡(luò)通信包是在開(kāi)放空間傳播的，任何一個(gè)人都可以用帶有無(wú)線NIC卡的筆記本電腦截獲這些通信包。

雖然無(wú)線網(wǎng)絡(luò)確實(shí)存在一些風(fēng)險(xiǎn)，但是從某種角度來(lái)說(shuō)，無(wú)線網(wǎng)絡(luò)甚至比有線網(wǎng)絡(luò)更安全。這是因?yàn)闊o(wú)線通信主要的加密機(jī)制是WEP加密。WEP加密從40位到152位甚至更高。實(shí)際的長(zhǎng)度取決于最低的通信參與者。例如，如果你的接入點(diǎn)支持128位WEP加密，但是你的一個(gè)無(wú)線網(wǎng)絡(luò)用戶設(shè)備只支持64位WEP 加密，那么你就只能獲得64位加密。但是目前基本上所有的無(wú)線設(shè)備都至少支持128位加密。

很多管理員并沒(méi)有意識(shí)到的事情是，雖然無(wú)線網(wǎng)絡(luò)可以使用WEP加密，但是這并不是他們能夠使用的唯一的加密方式。WEP加密僅僅是對(duì)所有通過(guò)網(wǎng)絡(luò)的通信進(jìn)行加密。它對(duì)于自己所加密的是何種類型的數(shù)據(jù)并不關(guān)心。因此，如果你已經(jīng)使用了IPSec來(lái)加密數(shù)據(jù)，那么WEP就能夠?qū)σ呀?jīng)加密的數(shù)據(jù)進(jìn)行第二重加密。

網(wǎng)絡(luò)隔離

如果你的公司非常大，那么你很有可能有一臺(tái)Web服務(wù)器作為公司網(wǎng)站的主機(jī)。如果這臺(tái)網(wǎng)絡(luò)服務(wù)器不需要訪問(wèn)后臺(tái)數(shù)據(jù)庫(kù)或者你私有網(wǎng)絡(luò)中的其他資源的話，那么就沒(méi)有理由把它放在你的私有網(wǎng)絡(luò)中。既然你可以把這臺(tái)服務(wù)器和你自己的網(wǎng)絡(luò)隔離開(kāi)來(lái)，那為什么要把它放在私有網(wǎng)絡(luò)內(nèi)部，給黑客一個(gè)進(jìn)入你私有網(wǎng)絡(luò)的機(jī)會(huì)呢？

如果你的Web服務(wù)器需要訪問(wèn)數(shù)據(jù)庫(kù)或者私有網(wǎng)絡(luò)中的其他資源，那么我建議你在你的防火墻和網(wǎng)絡(luò)服務(wù)器之間放置一臺(tái) ISA服務(wù)器。互聯(lián)網(wǎng)用戶同ISA服務(wù)器進(jìn)行通信，而不是直接通過(guò)Web服務(wù)器訪問(wèn)。ISA服務(wù)器將代理用戶和Web服務(wù)器之間的請(qǐng)求。你就能在Web服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器建立起一個(gè)IPSec連接，并在Web服務(wù)器和ISA服務(wù)器之間建立起了一個(gè)SSL聯(lián)接。

包監(jiān)聽(tīng)

在你已經(jīng)采取了所有必要的步驟來(lái)保護(hù)經(jīng)過(guò)你的網(wǎng)絡(luò)中的通信之后，我建議偶爾采用包監(jiān)聽(tīng)來(lái)監(jiān)視網(wǎng)絡(luò)通信。這僅僅是一個(gè)預(yù)防措施，因?yàn)樗鼛椭懔私庠谀愕木W(wǎng)絡(luò)中究竟發(fā)生了哪些類型的通信。如果你發(fā)現(xiàn)了意料不到的通信包類型，你就可以查找到這些包的來(lái)源。

協(xié)議分析器的最大問(wèn)題在于它可能被黑客所利用，成為黑客手中的利器。由于包監(jiān)聽(tīng)的特性，我曾經(jīng)認(rèn)為不可能探測(cè)出誰(shuí)在我的網(wǎng)絡(luò)中進(jìn)行包監(jiān)聽(tīng)。包監(jiān)聽(tīng)僅僅是監(jiān)視線纜中發(fā)生的通信。由于包監(jiān)聽(tīng)不改變通信包，那又怎么能夠知道誰(shuí)在進(jìn)行監(jiān)聽(tīng)呢？

其實(shí)檢查包監(jiān)聽(tīng)比你想象的要容易得多。你所需要的僅僅是一臺(tái)機(jī)器作為誘餌。誘餌機(jī)器應(yīng)該是一臺(tái)除了你之外任何人都不知道它存在的工作站。確保你的誘餌機(jī)器有一個(gè)IP地址，但是不在域之中。現(xiàn)在把誘餌機(jī)器連接到網(wǎng)絡(luò)中，并讓它產(chǎn)生一些通信包。如果有人在監(jiān)聽(tīng)網(wǎng)絡(luò)。監(jiān)聽(tīng)這就會(huì)發(fā)現(xiàn)這些由誘餌機(jī)器所發(fā)出的通信包。問(wèn)題在于監(jiān)聽(tīng)者會(huì)知道誘餌機(jī)器的IP地址，但是卻不知道它的主機(jī)名。通常，監(jiān)聽(tīng)者會(huì)進(jìn)行一次DNS查找，試圖找到這臺(tái)機(jī)器的主機(jī)名。由于你是唯一知道這臺(tái)機(jī)器存在的人，沒(méi)有人會(huì)進(jìn)行DNS查找來(lái)尋找這臺(tái)機(jī)器。所以，如果你發(fā)現(xiàn)DNS日志中有人進(jìn)行DNS查找來(lái)查找你的誘餌機(jī)器，那么你就有理由懷疑這臺(tái)機(jī)器被利用來(lái)監(jiān)聽(tīng)網(wǎng)絡(luò)了。

另一個(gè)你可以采取、用以阻止監(jiān)聽(tīng)的步驟是用VLAN交換機(jī)替換掉所有現(xiàn)有的集線器。這些交換機(jī)在包的發(fā)送者和接受者創(chuàng)建虛擬網(wǎng)絡(luò)。包不再經(jīng)過(guò)網(wǎng)絡(luò)里的所有機(jī)器。它將直接從發(fā)送端發(fā)送到接受端。這意味著如果有監(jiān)聽(tīng)者在監(jiān)聽(tīng)你的網(wǎng)絡(luò)，他就很難獲得有用的信息。

這種類型的交換機(jī)還有其他的優(yōu)點(diǎn)。對(duì)于一個(gè)標(biāo)準(zhǔn)的集線器，所有的節(jié)點(diǎn)都落在同一個(gè)域中。這就意味著如果你有100 Mbps的總帶寬，那么帶寬將在所有的節(jié)點(diǎn)之間進(jìn)行分配。但是VLAN交換機(jī)卻不是如此，每一個(gè)虛擬LAN都有專有的帶寬，它不需要進(jìn)行分享。這就意味著一臺(tái)100 Mbps交換機(jī)能夠同時(shí)處理好幾百M(fèi)bps的通信量，所有的通信都發(fā)生在不同的虛擬網(wǎng)絡(luò)上。采用VLAN交換機(jī)能夠同時(shí)提高安全性和效率。

責(zé)任編輯 趙毅 zhaoyi#51cto.com TEL:（010）68476636-8001